在指南的开始，我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出的数据，而一个好的软件设计可以帮助开发人员做到： 确保数据过滤无法被绕过， 确保不合法的信息不会影响合法的信息，并且 识别数据的来源。 关于如何确保数据过滤无法被绕过有各种各样的观点，而其中

开发中一直没办法解决的一个问题 　　页面采用UTF8编码，头部和尾部用了模板包含文件的方法，结果头部和尾部无端端各多出一个约10px的空行，什么也没有。 　　原因是全部采用utf8编码，包含文件的时候，最后的二进制流中包含了多次UTF8 BOM标记，IE不能正常解析包含多个UTF8 BOM 标记的页面，直接替换成实际显示的回车，这样

从早期的版本到 2004 年 7 月 13 日发布的 PHP 5，错误报告都是相当简单的。除了小心编写程序，还要留意一些特定的 PHP 配置项目： error_reporting 这个项目设置了错误报告的等级。不论是开发还是部署环境，强烈建议将这个项目设置为E_ALL。 display_errors 这个项目决定是否将错误显示在屏幕上（包含在输出中）。应当在开

什么是安全？ 安全是一种相对的度量，而不是绝对的标准。 不幸的是多数软件项目将安全列为一个简单的需求。它安全吗？这个问题的答案就像问某个东西是否是热的一样主观。 达到安全的开销应该是合理的。 对于多数应用来说达到足够的安全级别是简单而成本低廉的。但是，如果因为所需要保护的信息非常有价值，或对安全的要求非

register_globals参数在 PHP 的 4.2.0 及以上版本中默认为屏蔽。虽然这并不认为是一个安全漏洞，但是的确是一个安全风险。因此，应该始终在开发过程中屏蔽register_globals。 为什么这是一个安全风险？每一种情形都需要的单独说明才能描述清楚，对于所有情形只给出一个恰当的例子是非常困难的。不管怎样，最常见的例子是在P

该程序是不用GD库可以生成当前时间的PNG格式图象，给人大开眼界，很有参考价值. teaman整理 ?php function set_4pixel($r, $g, $b, $x, $y) { global $sx, $sy, $pixels; $ofs = 3 * ($sx * $y + $x); $pixels[$ofs] = chr($r); $pixels[$ofs + 1] = chr($g); $pixels[$ofs + 2] = chr($b); $pixels[$ofs +

关于 PHP 的数据库 API 对于不同的数据库有不同的函数，一直以来就有人尝试使用 PHP 的面向对象的功能进行一些封装。其中有比较著名的ADODB，PHPLIB。后来举世瞩目的 PEAR 项目中的 PEAR DB 更是其中的佼佼者。这些用面向对象对数据库 API 进行的封装的包一般称为数据库抽象层。 本文介绍的是 PEAR 中对 PEAR DB 进行融合 M

? * 名称：用Socket发送电子邮件 * 描述：本类实现了直接使用需要验证的SMTP服务器直接发送邮件，参考文章《用Socket发送电子邮件》作者：limodou * 此文章比较早，他是用不用验证SMTP服务器发送邮件，现在基本上SMTP服务器都需要验证了，所以这个文章里的类 意义也不是很大！同时参考了[RFC 1869]和PHP手册！！和上文还有不